有人制作了 Android 恶意软件,向 Google 的 AI 询问如何生存。它成功了。
Source: Dev.to
概述
一款名为 PromptSpy 的 Android 恶意软件做了前所未有的事:它实时向 Google 的 Gemini AI 请求指令,然后执行这些指令。ESET 研究员 Lukáš Štefanko 于 2 月 19 日披露了这一发现。PromptSpy 是已知的首个将生成式 AI 模型集成到运行时执行循环中的 Android 恶意软件——它并不是用来生成钓鱼邮件或编写代码,而是用于在受感染的手机上进行导航。
机制
- Screen capture – PromptSpy 捕获当前屏幕的 XML 转储,包含每个按钮、文本标签和点击目标的精确坐标。
- AI prompt – 它将转储与自然语言提示一起发送给 Google 的 Gemini API,并为 AI 分配“Android 自动化助理”的角色。
- AI response – Gemini 返回 JSON 指令,如 “tap here”、 “swipe there” 或 “long‑press this”。
- Execution – PromptSpy 通过 Android 的 Accessibility Services 执行这些手势。
- Loop – 恶意软件捕获新的屏幕状态并重复该过程,直至实现其目标。
该循环会持续进行,直到恶意软件将自身固定在最近使用的应用列表中,阻止系统将其杀死并阻止用户将其滑走。
持久性和功能
- VNC module – 为攻击者提供完整的远程控制。
- Credential theft – 截获锁屏 PIN/密码,并将图案解锁记录为视频。
- Screen capture – 截取屏幕截图。
- Uninstall resistance – 在卸载按钮上覆盖透明矩形,使其对点击不可见;要移除必须重启进入安全模式。
对 Android 碎片化的影响
传统的 Android 恶意软件硬编码 UI 交互,依赖于特定设备、操作系统版本、语言和屏幕尺寸的精确像素坐标。这种方式在任何变化下都会失效。PromptSpy 消除了这种手动工作:
“利用生成式 AI,使威胁行为者能够适配或多或少任何设备、布局或操作系统版本,这可以大幅扩大潜在受害者的池。” – Štefanko
通过将 UI 导航委托给 Gemini,恶意软件可以在 Android 超过 24,000 种不同设备型号上运行。
分发与检测
- Samples:
- 早期版本 VNCSpy(三个样本)于 1 月 13 日出现在 VirusTotal 上,上传地点为香港。
- 高级变体 PromptSpy(四个样本)于 2 月 10 日从阿根廷上传。
- Domain: 该分发域名现已下线,冒充 JPMorgan Chase,使用名称 “MorganArg”。代码中的调试字符串为简体中文。
- Telemetry: ESET 在其遥测中未发现任何感染。
- Google’s response: “Android 用户会自动受到 Google Play Protect 的保护,防御已知的此类恶意软件版本。” PromptSpy 从未上架 Play Store。
Gemini API 密钥是从指挥控制服务器获取的,而不是硬编码在程序中,且该恶意软件会存储对话历史,允许基于先前指令的多步骤交互。
相关发现
ESET 还标记了 PromptLock,将其描述为首个 AI‑驱动的勒索软件载荷。NYU 学生随后澄清,PromptLock 是一个概念验证研究项目。ESET 更新了其沟通内容,但仍保留“首例已知的 AI‑驱动勒索软件”这一标签。
重要性
- 实际设备上使用商业 AI API 的真实案例。
- 模仿合法银行的分发基础设施。
- 通过单一域名注册,弥合概念验证与实际意图之间的差距。
生成式 AI 组件仅占 PromptSpy 代码的一小部分,但它解决了移动恶意软件中最棘手的问题:设备碎片化。Gemini 可以在任何 Android 皮肤、OEM 定制或辅助功能设置下运行,实现“一次编写,感染所有设备”的方式。
Outlook
安全研究人员长期警告称,攻击者会将生成式 AI 武器化,重点放在网络钓鱼、社会工程和代码生成上。PromptSpy 显示,首次真实世界的武器化涉及使用聊天机器人来控制被盗手机的用户界面。恶意软件并不需要 Gemini 本身是恶意的;它只需要 Gemini 是有帮助的。